24 oct. 2011

Mejores Prácticas de Seguridad Informática al adoptar Factura Electrónica (parte 2 y última)


 
En el primer blog de Mejores Prácticas de Seguridad Informática al adoptar Factura Electrónica, mencionamos que el Servicio de Administración Tributaria (SAT) estableció medidas para asegurar la integridad de la información de una Factura Electrónica.

Para reforzar estas propiedades de seguridad, que por naturaleza fueron atribuídas a la Factura Electrónica, es necesario considerar las siguientes recomendaciones:

Recomendación 1: Seguridad al emitirlas, enviarlas y recibirlas.
Recordemos que “Los contribuyentes que emitan y reciban CFDI, deberán almacenarlos durante 5 años en medios magnéticos, ópticos o de cualquier otra tecnología, en su formato electrónico XML”, de acuerdo con la Regla  I.2.23.3.2, de la Primera Resolución Miscelánea Fiscal, publicada el 14 de septiembre de 2010.

No sólo el receptor debe guardar las Facturas Electrónicas que recibe de su proveedor, también el emisor debe guardar las facturas electrónicas que emite y envía a sus clientes; y es importante no guardarlas en el correo electrónico o en carpetas sueltas.

El primer paso es almacenar, ordenar y clasificar las Facturas Electrónicas en un solo lugar; y un almacén digital es el sitio más seguro para guardarlas, además de que ayuda a ahorrar espacio y papel.

No obstante, contar con un almacén digital no es todo. Es fundamental que en las empresas exista una política formal para crear respaldos en medios externos y definir quiénes tienen acceso a la información almacenada.

En el tema de almacenamiento empresas especializadas en la distribución de soluciones de seguridad informática, como HD México, también recomienda utilizar soluciones de software de respaldo para Windows en caso de desastre. Este tipo de soluciones ayuda a proteger los sistemas y bases de datos de posibles pérdidas de información, ocasionados por ataques de virus informáticos, caídas de sistema, desastres naturales, errores de usuarios o hackers, entre otras amenazas.

Incluso, hay proveedores de software empresarial, como CONTPAQi®, que sus aplicaciones incluyen la característica de Almacén Digital a fin de facilitar el respaldo de los archivos XML y agilizar la búsqueda de los documentos.

Recomendación 2: Verificar la autenticidad de las Facturas Electrónicas.
Este es un aspecto de suma importancia, ya que si las Facturas Electrónicas no son válidas no pueden ser deducibles. ¿Cómo las validamos? ¿Qué herramienta necesitamos?

La verificación la debes realizar con una herramienta llamada “Validador”. Por ejemplo, el software de CONTPAQi® cuentan con un Validador que verifica la autenticidad de su estructura, el sello y cadena original, así como el folio, serie y número de aprobación por parte del SAT.

El SAT, también cuenta con un validador. Para usarlo, sólo debes ingresar a:

La diferencia entre el validador del SAT y el de CONTPAQ i®, es que este último valida las facturas electrónica de manera masiva y en el del SAT debes hacerlo una por una.

Recomendación 3: Timbrado de la Factura Electrónica.
Un tercer paso es la función del Proveedor Autorizado de Certificación (PAC), conocida como “Timbrado de CFDI”; ésta incrementa el control de seguridad para la Factura Electrónica. Elegirlo bien es fundamental para garantizar la continuidad de la operación y ahorrar tiempo.

Recomendación 4: Proteger el envío y recepción de las Facturas Electrónicas.
Esta acción es elemental para evitar principalmente 3 catástrofes:

1. Extracción de datos al momento de enviarlas
2. Contaminación por virus que pueden dañar el equipo y por lo tanto toda tu información
3. Pérdida de documentos

Pero con un antivirus basta para evitarlas y estar protegidos. ¿Qué otras herramientas necesitamos? HD México señala contar con herramientas de protección y análisis de los archivos recibidos a través del correo electrónico o descargados desde algún sitio es lo mínimo requerido.

Adicionalmete, HD México recomienda:

1. Usar antivirus para tener protección contra todo tipo de amenazas de Internet, como troyanos, gusanos, spyware, rootkits y cualquier otro tipo de código malicioso
2. Usar soluciones para proteger los servidores internos de cualquier empresa, ya que son puntos clave en cualquier estrategia de protección dada la importancia de la información y servicios que contienen
3. Soluciones antivirus y antispam para correo electrónico
4. Protección para los protocolos HTTP y FTP de una organización contra virus, gusanos, troyanos, phishing y las más variadas amenazas informáticas tanto conocidas como desconocidas.
5. Protección para dispositivos móviles como Smartphones y PocketPCs, pues cada día son más utilizados, y el malware que los tiene como objetivo también crece. Detectar y deshabilitar estas amenazas emergentes también requiere de tecnología.

Por su parte, firmas como CONTPAQ i®, contarán con la entrega de CFDI vía AS2 para grandes cadenas comerciales. AS2 es una solución para el encriptamiento de información que evita la extracción de datos al momento de enviarla.

En resumen, podemos decir que la Factura Electrónica tiene por sí misma propiedades de seguridad:
- Brinda autenticidad: la firma electrónica trabaja igual que la firma autógrafa.
- El sello digital es único para cada transacción
- Es íntegra ya que puedes conocer si existe alguna alteración de la información de origen
- Con la firma electrónica se evita que se rechace el documento por el emisor (no repudio)
- Firmas digitales finitas: tanto la FIEL como el CSD se pueden cambiar o revocar
- En el caso de los CFDI el Proveedor Autorizado de Certificación es un agente neutral al emisor y al receptor que valida los estándares y agrega un sello digital adicional

Considerar las acciones de seguridad informática para la Factura Electrónica:
- Contar con soluciones de seguridad informática
- Cuidar la llave privada y contraseña del certificado de sello digital
- No tener información dispersa en el correo electrónico o carpetas sueltas
- Realizar periódicamente respaldos en la computadora y en medios externos
- Definir políticas de administración y control de acceso
- Validar la autenticidad de las facturas electrónicas
- Considerar una herramienta para el cifrado de la información
- Elegir con cuidado al proveedor  de seguridad informática.

0 comentarios:

Publicar un comentario